几乎一个星期过去了,我们没有听说一个组织将敏感数据暴露在互联网上,因为他们未能正确配置他们的Amazon S3存储桶。
值得称道的是,亚马逊网络服务公司正在努力防止这种情况发生。
例如,所有新创建的S3存储桶和对象(存储桶中的文件和目录)默认为私有,即随机人员无法通过Internet公开访问。其次,今年早些时候实施的更改使客户可以轻松识别由于访问控制列表(ACL)或允许任何用户进行读/写访问的策略而可公开访问的S3存储桶:
但即使这还不够,所以该公司正在推出一项新的安全功能:Amazon S3 Block Public Access。
关于Amazon S3阻止公共访问
此新功能允许帐户所有者/管理员集中阻止现有的公共访问(无论是通过ACL还是策略实现),并确保新创建的项目不会无意中被授予公共访问权限。
该功能允许四个新选项:
它们允许帐户用户防止将来尝试使用ACL来使桶或对象公开,覆盖存储桶中当前和未来对象的当前或未来公共访问设置,禁止使用新的公共存储桶策略,以及限制访问向桶所有者和AWS服务公开访问存储桶。
可以将选项配置为影响整个帐户或选定的存储桶。在桶级别设置的选项不能覆盖帐户级别设置。
“如果AWS账户被用来托管数据湖或其他商业应用程序,阻止公共访问将成为防止意外公开曝光的帐户级防范,”AWS首席布道师Jeff Barr 解释说。
可以从S3控制台,命令行界面,S3 API以及CloudFormation模板中访问该功能。